DSGVO im MICE Management: Es wird alles halb so heiss gegessen, wie gekocht! (5/5)

In den letzten 4 Episoden haben wir über die DSGVO und ihre Auswirkungen auf die Hotellerie im Analogen, Digitalen, bei der Videoüberwachung und in Bezug auf Mitarbeiter gesprochen.

Heute geht es um den Meeting und Event – Bereich. Was müssen Veranstaltungsplaner von Tagungshotels oder von Kongressen beachten?

Was musst du bei Tagungsanfragen ab sofort berücksichtigen, um DSGVO-konform zu arbeiten?
Kannst du weiterhin Tools wie Matching Apps, Twitter-Wall oder Social Board nutzen?

Und wie musst du deinen Ablauf mit Function-Sheets (gedruckte Veranstaltungsagenda) anpassen, damit du die Datenschutzgrundverordnung einhältst?

Sicherlich hat die DSGVO weitreichende Folgen für den internen Ablauf im Hotel. Aber es ist nicht aller Tage Abend, denn zunächst solltest du die DSGVO durchaus positiv sehen. Es ist nicht schlecht, die eingefahrenen Abläufe mal zu hinterfragen. Und wenn es per Gesetz vorgeschrieben ist, dann kommt dir auch die Aufschieberitis nicht in die Quere ;).

In dieser Folge spreche ich mit Ingo Busch von der Datenschutzberatung Köln über die DSGVO im MICE-Bereich. Du kannst die Episode hier anhören oder wenn du lieber liest, kommt hier der Artikel für dich.

[blue_box]

Ich möchte darauf hinweisen, dass weder Ingo noch ich Rechtsanwälte sind und das hier keine Rechtsberatung darstellt. Ich möchte dich bitten für deinen speziellen Fall zu dem Anwalt deines Vertrauens zu gehen. Ingo ist Datenschutzbeauftragter und deshalb spreche ich über dieses Thema mit ihm.

[/blue_box]

DSGVO-konform ab der Anfrage!

Valerie: Herzlich Willkommen Ingo. Schön, dass wir uns auch heute wieder über unser fast schon Lieblingsthema unterhalten können!

Ingo Busch: Hallo Valerie, man könnte tatsächlich meinen, dass der Datenschutz unser Lieblingsthema wäre 😉

Valerie: Wir sprechen heute über Tagungen und Meetings in Hotels. Und ich fange mal ganz von vorne an.
Ein Kunde schreibt an die Meeting & Event Abteilung eines Hotels per Email eine Anfrage für eine Tagung. Der normale Geschäftsverlauf wäre, die Anfrage zu beantworten. Meistens mit einer E-Mail, wir kümmern uns und melden uns bald zurück oder wenn möglich direkt mit einem Angebot.
Ist das noch DSGVO-konform?

Ingo: Das ist kein Problem. Es handelt sich hierbei um einen ganz normalen geschäftlichen Vorgang. Oder wie es die DSGVO nennt, die „Durchführung vorvertraglicher Maßnahmen“. Was aber selbstverständlich zu beachten ist, dass die personenbezogenen Daten gelöscht werden, wenn der Zweck entfällt. Wenn ich also beispielsweise nach einem halben Jahr vom Interessenten immer noch keine Antwort erhalten habe beziehungsweise der angefragte Zeitraum für die angefragte Tagung überschritten ist, dann muss ich die Daten löschen.

Hotelsoftware im Hotelkonzern: eine Grauzone?

Valerie: Um ein Angebot zu erstellen werden die Daten meistens schon in das Hotelprogramm eingetragen. Das heisst in eine Datenbank. Bei Hotelketten könnten darauf auch alle anderen Hotels der Kette zugreifen… In diesen Daten sind natürlich der Firmenname und die Ansprechperson/Kontaktperson enthalten. Also, wie wir ja gelernt haben: Name gleich personenbezogenes Datum.
Ist das noch so einfach möglich, der Eintrag in die Datenbank/CRM?

Ingo: Da wird es schon schwieriger und wir müssen uns die Sache genauer anschauen. Solange die Daten im Hause verbleiben sehe ich kein Problem. Ich muss allerdings, wie ich es eben schon gesagt habe, dafür sorgen, dass die Daten wieder gelöscht werden, wenn ich mit dem Interessenten nicht ins Geschäft gekommen bin.

Wenn ich die Daten allerdings in ein System eingebe, auf das auch andere Hotels der gleichen Kette zugreifen können, wird es schon komplizierter. Es handelt sich hier ja strenggenommen um eine Weitergabe der Daten an Dritte. Daher muss ich den Betroffenen, also den Interessenten, zuerst über dieses Vorhaben informieren und ihn auch über seine Betroffenenrechte aufklären. Erst danach darf ich die Informationen in das System der Hotelkette eingeben. 
Dass die Nutzung der Systeme der Hotelkette auch eine Auftragsverarbeitung oder evtl. sogar eine gemeinsame Verantwortlichkeit vorliegt, brauche ich nach den letzten 4 Podcast-Folgen bestimmt nicht mehr explizit erwähnen…

Digitale Ablage von E-Mails

Valerie: Die Emails werden meistens in virtuelle Ordner abgelegt oder anders gesagt: Als ich M&E Managerin war, habe ich das Postfach so organisiert, dass die Emails einer Veranstaltung im Outlook einen eigenen Ordner erhalten hat.
Kann ich das nach der DSGVO noch so machen?

Übrigens: Die Emails wurden nie gelöscht, erst als die IT auf mich zukam, dass es doch viel Speicher frisst

Ingo: Das ist so weiterhin möglich. Allerdings sollte im Verfahrensverzeichnis geregelt sein, wie der unerlaubte Zugriff verhindert wird und wann diese Emails gelöscht werden. Ein Großteil der Emails kann und sollte gelöscht werden, wenn die Veranstaltung vorbei ist und auch etwaige Reklamationsansprüche des Kunden nicht mehr zu erwarten sind.
Ein Teil der Emails, die als Handelsbriefe gelten und in denen bestimmte Absprachen getroffen werden, muss ich allerdings 6 Jahre aufbewahren. Aber danach müssen auch diese gelöscht werden.
Damit sich also nicht nur der Datenschützer freut, sondern auch der IT-Admin sollte ich das entsprechende Email-Postfach regelmäßig entrümpeln… 🙂

Die DSGVO und der Gruppen Check-In an der Rezeption

Valerie: Also der Tag der Veranstaltung ist da. Um keinen Stau am Empfang zu verursachen wird ein sog. Gruppen-Check-In durchgeführt. Es gibt eine Liste mit Namen der Firma, des Teilnehmers, Zimmernummer, Anreise und Abreise- Datum und ein Feld für die Unterschrift. (Nicht ganz Meldungsgesetz-konform, aber darum geht es erst mal nicht)
Alle die auf dieser Liste unterschreiben können also den Namen, Zimmernummer, An- und Abreisedatum der anderen sehen.
Was sagt die DSGVO dazu?

Ingo: Das geht leider nicht mehr so. Ich lasse jetzt mal ganz bewusst offen, ob es nach altem Datenschutzrecht vor dem 25.5. überhaupt legal war…

Also: Es geht natürlich gar nicht, dass andere Hotel-Gäste die Daten anderer Gäste einsehen können. Ich würde daher vorschlagen, dass die Meldezettel oder auch ein spezielles Check-In-Formular für solche Gruppen-Check-Ins für jeden der erwarteten Hotelgäste vorausgefüllt und ausgedruckt in einem Ordner bereitgehalten werden.

Beim Check-In muss dann nur noch dem Gast das Papier zur Unterschrift vorgelegt werden. Er bekommt den Schlüssel in die Hand gedrückt und das war‘s! Ich denke, dass das in der Praxis auch nicht wesentlich länger dauert als wenn der Gast mühsam seinen eigenen Namen in einer Liste suchen muss.

Digital Signage

Valerie: In der Lobby hängen Bildschirme an der Wand mit Informationen zur Veranstaltung. Zum Beispiel der Treffpunkt für das Abendessen, die Raumnamen für die Veranstaltung und vielleicht auch schon die Agenda für den ersten Tag. Auf dem Display wird der Unternehmensname genannt und der Titel eines Vortrags sowie der Name des Referenten. Geht das noch?

Ingo: Wir haben es hier mit ganz unterschiedlichen Fragestellungen zu tun. Bis auf den Namen des Referenten kann ich weiterhin alle Informationen anzeigen, da es sich nicht um personenbezogene Daten handelt.
Den Namen des Referenten darf ich allerdings nur bekanntmachen, wenn er seine Einwilligung dazu erteilt hat. Das wird er aber in aller Regel tun.

Matching App, Social Board und Twitter-Wall

Valerie: Für den Kongress hat der Veranstalter oder das Hotel eine Matching App. Damit kann der Event Manager alle Teilnehmer einladen und erstellt so eine Gemeinschaft/Community in Bezug zum Event. Innerhalb dieser App kann man über Keywords suchen und andere Teilnehmer treffen also matchen. Und auch direkt Termine vereinbaren. Ist das alles okay? Braucht man als Event Manager einen ADV mit dem Matching App Anbieter?

Ingo: Davon ist auszugehen. Man muss sich allerdings im Einzelfall anschauen, wie das Verhältnis von Veranstalter, Matching App Anbieter und Teilnehmer aussieht. Im Zweifel sollte ich Veranstalter immer einen Fachmann hinzuziehen. Also den Datenschutzbeauftragten, falls ich einen bestellt habe. Darüber hinaus oder wenn ich keinen Datenschutzbeauftragten habe, sollte ich einen Datenschutzberater und / oder einen Rechtsanwalt konsultieren.

Valerie: Eine andere Möglichkeit die Leute auf einem Kongress zu vernetzen, ist die Verwendung eines Social Boards. Das heisst das ist ein Display der Bild, Name und einen QR Code abbildet. Also eine virtuelle Pinnwand an die die Personen ihr Bild mit Visiten gepinnt haben. Nur eben digital. Was sagt denn die DSGVO dazu? Und wir gehen davon aus, dass dieser Display frei zugänglich ist im Hotel oder auch in einem Kongresscenter und auch von Nicht-Kongressteilnehmer gesehen wird.

Ingo: Wenn ich die Dienste einer dritten Plattform für so ein Social Board nutze und als Veranstalter keine Daten an die Plattform übermittle, ist alles gut. Dann würden die Teilnehmer freiwillig das Angebot, Ihre Kontaktdaten anzupinnen, nutzen oder eben auch nicht.

Ein gutes Beispiel sind die Twitter Walls auf Barcamps oder anderen Veranstaltungen: Als Twitter-User habe ich bei der Anmeldung die Datenschutzbestimmungen von Twitter akzeptiert. Und meine Tweets werden auf der Twitter-Wall nur angezeigt, wenn ich den Hashtag der Veranstaltung in meinen Tweets verwende. Es schadet allerdings nicht, die Teilnehmer drauf hinzuweisen, dass ihre Tweets auf der Twitter Wall automatisch auftauchen, wenn sie den spezifischen Hashtag nutzen.

Die DSGVO und die interne Organsation im Hotel

Valerie: Im Hotel werden die Event-Functions (Papier das in den Abteilungen Rezeption, Küche, Service verteilt wird) inkl. Firmen-Adresse, Name des Ansprechpartners etc. verteilt. Im Alltagsgeschäft kann es schon mal sein, dass dieses Papier „irgendwo“ liegt und vielleicht jemand drauf kucken kann. Ist das ein kritischer Punkt?

Was muss der Hotelier tun?
Falls hier tatsächlich Handlungsbedarf besteht, ist das sehr einschneidend für den organisatorischen Geschäftsablauf. Vor allem, wie soll das kontrolliert werden?

Ingo: Du sprichst hier einen wichtigen Aspekt an. Da prinzipiell jeder Mitarbeiter immer wieder mit personenbezogenen Daten zu tun hat, sollte ich auch alle Mitarbeiter für den Datenschutz sensibilisieren und auch auf das Datengeheimnis verpflichten. Dazu gehört auch, dass die Mitarbeiter regelmäßig zum Datenschutz geschult werden und dass der Datenschutzbeauftragte dies auch überprüft.
Und das unabhängig von einer konkret anstehenden Veranstaltung.

Der einzig kritische Punkt, den Du ansprichst, ist, dass das Paper „irgendwo“ liegt. Es sollte selbstverständlich immer so aufbewahrt werden, dass unbefugte Dritte diese Daten nicht einsehen dürfen. Daher im Zweifelsfall lieber jedem Mitarbeiter ein eigenes Exemplar austeilen, damit sie das Papier in Jacken-, Westen- oder Hosentasche aufbewahren. Ein Aushang in der Küche geht meines Erachtens auch in Ordnung. Es sei denn, ich habe gerade auch Handwerker in der Küche.

Und die ausgegebenen Papiere sollten nach der Veranstaltung wieder eingesammelt und vernichtet werden.

Vegi, vegan, glutenfrei – sensible Daten auf dem Function Sheet

Valerie: Auf diesen Functions stehen auch spezielle Speisewünsche, Lebensmittelallergien und so weiter. Wenn es eine sehr spezielle Allergie ist, z.B. eine Histaminintoleranz, dann kann es sein, dass auch der Name dabei steht, damit der Servicemitarbeiter im Zweifel nicht nach dem Mann/Frau mit der roten Jacke Ausschau halten muss, sondern auch den Namen nennen kann. Das ist doch ein personenbezogenens Datum, oder?

Ingo: Aber sicher! Es handelt sich bei Allergien obendrein um besondere Kategorien personenbezogener Daten! Ich würde hier empfehlen dass die Küche nur die Informationen erhält wie viele spezielle Essen bereit zu stellen sind. Und im Service sollte ich nur ausgewählten Mitarbeitern die Information zur Verfügung stellen, welche spezielle Essen welchen Teilnehmer zu servieren sind. So halte ich den Kreis der Personen, die Kenntnis über etwaige gesundheitliche Beeinträchtigungen der Teilnehmer erlangen, möglichst klein. Das ist hier und da eine Umstellung der bisher gelebten Praxis, sollte aber zum Wohle des Gastes und zum Schutz seiner Persönlichkeitsrechte so gehandhabt werden.

Valerie: Ich muss sagen, hier greift die DSGVO massiv in den internen Ablauf ein. Das ist wirklich fatal, da es alle Strukturen in einem Hotel, was die interne Ablauforganisation angeht, aushebelt. Das bedeutet, der gesamte organisatorische Ablauf muss überdacht und neu strukturiert werden!

Bilder auf Veranstaltungen

Valerie: Und wie sieht das mit Bildern aus? Auf Veranstaltungen sind oftmals eigens Fotografen engagiert, die Bilder machen oder Videoaufzeichnungen oder so. Und wenn man einen Social Media Walk durchführt, nehmen z.B. Blogger oder Teilnehmer Instagramstories auf oder machen auch Fotos mit dem Smartphone. Was sagt die DSGVO dazu?

Ingo: Ganz wichtig ist, dass ich die Teilnehmer vorab informiere, dass fotografiert oder gefilmt wird. Das kann ich in der Praxis so handhaben, dass schon bei der Anmeldung darauf hingewiesen wird. Dann nochmal auf der Anmeldebestätigung und dann mit einem Aufsteller am Tag der Veranstaltung. Ich sollte auch auf die Betroffenenrechte hinweisen.

Bei einem Instawalk kann es nicht schaden die Teilnehmer auf die Regelungen zum Recht am eigenen Bild hinzuweisen und auch, dass sie eine Einwilligung der abgebildeten Person benötigen.

Wenn es darum geht, ob sich die Teilnehmer bei einem Instawalk gegenseitig fotografieren und diese Fotos bei Instagram veröffentlichen dürfen, kann ich auch hier wieder bei der Anmeldung darauf hinweisen und die Einwilligung einholen. Das wäre es zu der Frage kurz dargestellt. Es ist nämlich alles nicht so einfach und zur Fotografie in Zeiten der DSGVO könnten wir ohne Problem eine weitere Episode füllen 😉

Zum Glück hat der Rechtsanwalt Lars Rieck dazu bereits ausführlich gebloggt und auch den Kollegen vom Podcast „Rechtsbelehrung“ in der letzten Ausgabe ausführlich Rede und Antwort gestanden.

Visitenkarten inklusive Einwilligung?

Valerie: Zu guter letzt: Und wie ist das seit der DSGVO eigentlich konkret mit den Visitenkarten. Darf ich die Person kontaktieren, die mir ihre Visitenkarte gegeben hat? Oder brauche ich tatsächlich eine Einwilligung?

Ingo: Ach ja, die Visitenkarten. Ist ja ein Thema, dass von den Medien ein wenig aufgebauscht und von Christian Solmecke auch ganz nett karikiert wurde.

Wenn man es ganz genau nimmt, müsste ich tatsächlich jedes Mal eine Datenschutzerklärung übergeben und über den Zweck der Verarbeitung etc. aufklären, sobald ich eine Visitenkarte in Empfang nehme. In der Praxis dürfte aber von einer stillschweigenden Einwilligung auszugehen sein. Eben auch die Einwilligung in die Speicherung der personenbezogenen Daten zur späteren Kontaktaufnahme.

In einen Newsletter-Verteiler würde ich jedoch die Daten nicht ohne weiteres eintragen, sondern tatsächlich die Einwilligung schriftlich einholen und somit ein – ich nenne das mal manuelles Opt-In – durchführen.

Vielen Dank für das Gespräch.

[blue_box]

An dieser Stelle nochmal der Hinweis, dass es sich hier um keine Rechtsberatung handelt, sondern Ingo als Datenschutzbeauftragter einfach mehr weiss und zur DSGVO sagen kann. Bitte wende dich für dein Unternehmen an den Anwalt deines Vertrauens.

[/blue_box]

[blue_box]

Und jetzt zu dir!

Hast du Fragen zum Thema oder willst etwas zur DSGVO sagen, dann schreib es gerne in die Kommentare!

Ingo und ich wollen noch eine weitere Episode aufnehmen und deine Fragen darin beantworten!

[/blue_box]

Über den Gesprächspartner: Ingo Busch, Datenschutzbeauftragter

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als TÜV-zertifizierter Datenschutz-Beauftragter und -Auditor kümmert er sich bei einer Unternehmensgruppe mit 5000 Mitarbeitern in Deutschland um die datenschutzrechtlichen Belange. Privat führt er seit über 10 Jahren einen erfolgreichen Reiseblog und podcastet zu Luftfahrt-Themen.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert